Смарт-колонки “вміють” визначати набрані на смартфоні паролі

Смарт-колонки на зразок Google Home і Amazon Echo можуть використовуватися хакерами для викрадення PIN-кодів або паролів, які набираються на екрані мобільних пристроїв. До такого висновку прийшли фахівці Кембриджського університету за результатами проведеного дослідження.

За словами фахівців, за допомогою голосового помічника зловмисники можуть записати звуки, що видаються мобільним пристроєм, коли користувач вводить пароль, і так визначити набрані символи.

Фахівці сконструювали власну версію смарт-колонки, близьку до тих, що доступні на ринку сьогодні, і провели комп’ютерний аналіз записаних нею звуків і вібрацій, що видаються смартфоном під час набору PIN-коду на екрані. Коли смартфон був розташований на відстані 20 сантиметрів від смарт-колонки, комп’ютера вдалося вгадати код з точністю 76% з трьох спроб. Чим далі перебував смартфон від колонки, тим менше була точність. На відстані 50 сантиметрів точність досягала тільки 20%.

“Ми продемонстрували, як за допомогою двох смартфонів і планшета атакуючий може отримати PIN-коди і текстові повідомлення із записів, зібраних голосовим помічником, розташованим на відстані до півметра”, – повідомив керівник дослідження.

Смарт-колонки на зразок Google Home і Amazon Echo завжди знаходяться в режимі очікування, щоб відразу “прокинутися”, якщо користувач до них звернеться. Як тільки пролунає відповідна фраза, звук починає записуватися і передаватися штучному інтелекту для обробки. Однак доступ до цих аудіозаписів обмежений. Тільки власник облікового запису Alexa може переглядати у програмі і в будь-який час видаляти за своїм бажанням. Отже, зловмисники, які бажають зламати смарт-колонку з метою крадіжки паролів, повинні або мати фізичний доступ до пристрою, або зламати сервер, щоб отримати доступ до аудіозаписів.

Однак складність у проведенні атаки набагато перевищує можливу вигоду, і кіберзлочинці навряд чи будуть здійснювати її на практиці, вважають фахівці.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ

Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ

Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС

Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ

Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ

До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.

Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.

Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.

У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.

П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.